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云 环 境 中 基于 相对 索引 散 列 树 的 数据 审核 方法 


李 备 庭 ， 周 安宁 
(广东 外 语 外 贸 大 学 , 广州 510006) 


摘 要 : 为 了 确保 云 环境 外 包 数 据 不 受 国 国 ， 提 高 数据 完整 性 审核 的 效率 ， 提 出 一 种 基于 相对 索引 散 列 树 (RLMHT) 的 
数据 审核 方法 ， 首 先 修改 经 典 MHT 的 每 个 节点 以 存储 两 条 信息 ， 即 数据 块 的 哈 希 值 和 节点 的 相对 索引 ,将 MHT 与 节 
点 的 相对 索引 集成 ， 以 降低 数据 块 搜索 的 计算 成 本 ; 然后 通过 添加 数据 的 最 后 修改 时 间 ， 确 保 数 据 的 新 鲜 性 。 实 验 结 
果 验 证 了 所 提 方 法 的 有 效 性 ， 与 其 他 同类 方法 相 比 ， 所 提 方 法 在 计算 成 本 、 通 信 成 本 和 存储 成 本 方面 具有 一 定 优势 ， 
并 以 较 高 的 概率 检测 服务 器 的 不 当 操 作 。 
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Data auditing method based on relative Index hash tree in cloud environment 


Li Mengting, Zhou Anning 
(Guangdong University of Foreign Studies Guangdong 510006, China) 


Abstract: To ensure the cloud environment outsourcing data from tampering, and improve the efficiency of data integrity audit, 
this paper proposed a data audit method based on relative index-merkle hash tree (RIMHT) . Firstly, it modified each node of 
the classic MHT to store two information, that was data block hash value and the relative index value of node. To reduce the 
computation cost of data block search, it Integrated the relative index of MHT with the node. Then, by adding the last 
modification time of the data, it ensured the freshness of the data. The experimental results verify the effectiveness of the 
proposed method. Compared with other similar methods, the proposed method has some advantages in terms of computational 
cost, communication cost and storage cost. And it is possible to detect the improper operation of the server with higher probability. 
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0 引言 


云 计算 山 在 市 场 中 迅速 兴起 ， 极 大 地 改变 了 服务 供应 商 与 客户 、 经 销 商 、 雇 员 之 间 的 交互 方式 ， 如 百度 、 阿 里 巴巴 等 各 种 互 
联网 服务 已 经 改变 了 人 们 的 交流 、 购 物 、 教 育 和 其 他 很 多 活动 方式 。 云 端 提供 的 服务 趾 包括 软件 即 服务 (SaaS )、 平 台 即 服务 (PaaS ) 
以 及 设施 即 服务 〈TaaS ) 。 云 作为 一 个 基础 设施 提供 了 远程 存储 位 置 以 保存 数据 ， 并 由 云 自身 来 维护 。 虽 然 云 提供 了 存储 便利 ， 
但 数据 安全 性 是 其 一 个 薄弱 环节 。 

针对 数据 存储 安全 ， 己 经 有 一 些 研究 者 对 其 进行 了 分 析 和 开发 。 例 如 文献 [3] 提 出 了 两 个 数据 持 有 型 的 验证 方案 ,分 别 为 采样 
和 高 效 方案 。 但 数据 所 有 权 的 保证 较 弱 ， 使 用 了 基于 RSA 针 的 同 态 标 签 。 然 而 该 协议 不 支持 数据 的 动态 操作 ， 其 应 用 仅 限 于 静态 
数据 。 文 献 [5] 提 出 了 两 个 可 检索 证 据 (PoR) 方案 ,使 用 了 支持 公共 审核 的 同 态 认证 器 。 该 研究 基于 可 公共 审核 的 BLS 签名 。 该 
方法 在 审核 程序 的 时 间 复 杂 度 方面 具有 高 效 性 ， 然 而 该 协议 的 通信 复杂 度 会 随 着 外 包 数 据 块 大 小 的 增加 而 呈 线 性 变化 。 文 献 [6] 提 
出 了 动态 数据 的 处 理 程 序 机 制 ， 该 方法 依赖 于 基于 排名 的 身份 验证 的 跳跃 表 ， 虽 然 跳跃 表 改 进 了 标签 生成 方法 ， 但 其 效率 没有 验 
证 。 文 献 [7] 基 于 Merkle 散 列 树 和 附属 设计 模块 ， 确 保 设备 主动 、 周 期 性 地 向 管理 中 心 发 送 自己 的 平台 运行 状态 ,使 得 存储 容量 开 
销 和 计算 成 本 所 需 减少 ， 从 而 减轻 了 管理 中 心 的 计算 压力 ， 但 该 研究 仅 限 于 静态 数据 。 文 献 [8] 基 于 服务 器 持 有 数据 证 据 的 正确 性 
和 完整 性 ， 提 出 一 个 改进 版 的 协议 。 虽 然 该 协议 在 加 密 外 包 数 据 库 中 具有 较 好 的 安全 性 ， 但 其 应 用 仅 限 于 静态 数据 。 

现 有 的 协议 试图 为 云 系统 提供 数据 完整 性 审核 ， 但 尚未 能 解决 公共 审核 和 数据 动态 性 的 问题 。 为 此 ， 本 文 提 出 了 一 种 数据 完 
整 性 审核 协议 ， 带 有 相对 索引 Merkle 散 列 树 (RIMHT)〉， 其 支持 了 数据 的 公共 审核 和 数据 动态 操作 ， 并 能 够 确保 数据 的 新 鲜 性 ， 
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还 考虑 到 了 外 包 数 据 的 隐私 保护 问题 。 


1 ”提出 的 数据 完整 性 审核 模型 


提出 的 数据 完整 性 审核 模型 如 图 1 所 示 。 图 1 


的 数字 表示 在 一 次 数据 审核 过 程 中 的 作业 顺序 , “*” 表 示 该 活动 可 以 独立 于 


a) 数据 所 有 者 (DP) 。 通 过 修改 、 插 入 、 附 加 等 操作 在 后 续 对 数据 进行 更 新 。DP 是 依赖 云 供应 商 提 供 的 数据 维护 实体 。 通 
常 来 说 ， 是 一 个 资源 受 限 的 实体 。 
b) 云 服务 供应 商 (CSP) 。 
一 般 被 考虑 为 一 个 不 可 信 的 实体 
c) 第 三 方 审核 者 CTPA) 。 


审核 过 程 之 外 。 该 审核 模型 包含 三 方 实体 ， 


其 定义 如 下 : 


— 


的 数据 审核 计算 压力 。 


TPA 是 可 信 实 


存在 着 宕 探 DP 数 # 
私 性 问题 ， 并 假定 


b) CSP 造成 的 安全 威 
数据 ， 以 节约 服务 器 空间 ，CSP 可 能 会 对 数 ] 
c) 一 些 外 部 威胁 。 合 法 用 户 可 以 通过 
合法 用 户 的 登录 凭证 可 能 会 被 陌生 人 使 用 ， 


帮 


图 1 RI-MHT 的 系统 模型 


在 DP 的 数据 上 进行 


TPA 忠诚 可 靠 。 


办 。CSP 可 能 会 对 


有 足够 计算 资源 和 无 限 存储 空间 的 存储 服务 器 实体 。 主 要 负责 外 包 数 据 的 保存 和 维护 ， 但 CSP 


F 核 的 专业 实体 。TPA 是 CSP 和 DP 都 信任 的 实体 ， 能 够 最 大 限度 降低 DP 


本 ，CSP 为 不 可 信 实 体 。 然 而 TPA 和 CSP 都 可 能 给 DP 数据 带 来 一 些 威胁 ， 例 如 : 
a) TPA 造成 的 数据 安全 威胁 。DP 依靠 TPA 来 确保 数据 的 完整 性 ， 
的 可 能 性 ， 因 此 ， 在 公共 审核 协议 中 ， 数 据 的 隐私 怕 


假定 TPA 是 一 个 真实 可 靠 的 独立 实体 。 然 而 TPA 始终 
可 能 会 受到 TPA 的 侵犯 。 本 文 提出 的 协议 未 考虑 数据 隐 


| DP 的 数据 造成 如 下 威胁 : ”CSP 可 能 会 在 没有 通知 DP 的 情况 下 移 除 其 不 常 访问 的 
居 造 成 一 些 处 理 错误 ， 这 可 能 会 使 DP 数据 出 现 不 可 恢复 的 损坏 。 


CSP 提供 的 应 用 程序 访问 外 包 数 据 ， 而 较 弱 的 应 用 程序 可 能 为 DP 数据 带 来 风险 。 一 些 
可 能 匿名 地 污染 或 删除 数据 。 另 外 ， 离 职 后 的 CSP 管理 员 可 能 会 入 侵 云 服务 器 ， 对 


存储 数据 造成 危害 。 因 此 ， 在 提供 各 种 云 服 务 的 同时 ， 确 保 数据 的 可 访问 性 并 防止 外 包 数 据 受到 外 部 攻击 ， 对 于 CSP 是 至 关 重 要 


的 。 
2 ”提出 的 协议 


本 章 将 解释 在 云 计 算 中 执行 数 扩 


昌 完 整 性 审核 的 REMHT 协议 。 首 先 ， 对 经 


建 。 本 文系 统 流程 如 图 2 所 示 。 该 流程 扫 


本 遵循 图 


1 模型 ， 将 数据 流 进行 了 展开 。 


MHTBI 进 行 修改 ; 然后， 详细 介绍 所 提 协 议 的 构 
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图 2 本 文系 统 基本 流程 框架 


2.1 MHT 的 修改 

为 降低 MHT 中 对 数据 进行 完整 性 审核 时 搜索 节点 的 计算 复杂 度 ， 本 文 对 经 典 MHT 的 每 个 节点 进行 修改 以 存储 两 条 信息 ,一 
条 信息 为 数据 块 的 hash 值 ， 另 一 条 信息 为 节点 的 相对 索引 。 与 一 个 节点 了 相关 联 的 相对 索引 ， 指 定 了 属于 了 子 树 的 叶 节点 数量 。 
在 修改 后 的 MHT 中 ， 叶 节点 的 相对 索引 设 为 1。 举 例 来 说 ， 如 果 对 于 一 个 父 节 点 P，L 和 R 的 hash 值 分 别 为 五 。 和 五 , 、 相 对 索 
引 字 段 值 为 入 的 父 节 点 P 的 左 子 节点 和 右 子 节点 ， 那 么 节点 P 的 hash 值 为 (下 召 ;) ， 相 对 索引 字段 值 为 (+) 。 将 一 个 
时 间 惟 字段 与 MHT 的 根 节点 相关 联 。 修 改 后 的 MHT 样 例如 图 3 所 示 。 此 处 ，Hr=(H, Hl| d,)， 式 中 4d 为 树 建立 的 日 期 和 时 


间 。 由 于 树 中 任何 数据 块 进行 的 改动 均 会 更 新 召 *， 所 以 且 k 中 能 够 反映 出 最 后 修改 的 时 间 和 日 期 , 这 样 就 保证 了 数据 的 新 鲜 性 。 


Has8 
Hd Hy,4 
He,2 H,,2 He,2 H;,2 


| HID),1 H(d[2),1 | H(d[3]),1 H(A[4),1 | H(a[SD),1 | H(d[6)),1 | | 了 dd[77)1 Hd[8)),1 
* 大 大 大 大 不 * 


pp ~ pn pA Pa pa 二 Se 和 了 2 
ta dc2 (a3) ad 5 dg (am) (dl 
人 SA Ww “7 WA i Ne LA 2 


图 3 带 相对 索引 和 时 间 惟 的 merkle 散 列 树 


2.2 定义 
本 节 将 给 出 所 提 算 法 的 的 定义 。 
a) Keygen (1 ) : 该 算法 由 DP 执行 。 其 中 ，4 表示 安全 性 参数 ， 该 算法 的 输出 为 一 个 密 钥 对 〈 公 钥 ， 私 钥 ) < (7,k) 。 
b) FileTagGen (fname,k,n,d,) : 该 算法 由 DP 执行 ， 以 生成 文件 F 的 标签 。 该 算法 的 输入 为 外 包 文件 的 名 称 、 私 有 密 铀 、 数 
据 块 分 区 数量 、 文 件 预 处 理 的 日 期 和 时 间 。 该 文件 标签 表示 为 T。 
c) BlockSigGen (5, 瑟 (d[D]),d 2) : 该 算法 由 DP 执行 。 其 输入 为 私有 密 钥 有 、 文 件 块 的 hash、 文 件 预 处 理 的 日 期 和 时 间 ， 以 
及 一 个 随机 元 素 ueG 。 该 算法 输出 为 9 ， 是 文件 块 的 上 BLS 签名 09 {wjisisn 的 一 个 有 序 集合 。 
d) Challenge (质询 ) : 该 算法 由 TPA 执行 ， 以 在 DP 委托 审核 权 之 后 生成 发 送 到 CSP 的 质询 消息 。 
e) GenProof (F,0,C) : CSP 在 接收 到 来 自 TPA 的 质询 消息 C 后 立即 执行 该 算法 ， 以 生成 一 个 证 据 2? ， 并 将 其 传递 到 TPA 以 
进行 验证 。 该 算法 的 输入 为 文件 F、 签 名 集合 9 和 质询 消息 C。 


居 P+。 该 算法 的 输入 为 质询 消息 C、 来 自 CSP 的 消 


mi 


f) VerifyProof (C, 记 ,77) : 该 算法 由 TPA 执行 ， 以 验证 从 CSP 接收 到 的 记 
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息 户 以 及 公 钥 g*。 该 算法 的 输出 为 {TRUE,FALSE} ， 其 取决 于 验证 的 成 功 或 失败 。 
2.3 ”构建 细则 
F 表示 要 外 包 的 文件 ， 该 文件 被 分 为 n 个 数据 块 (d[1,d[2],……,d[Ln]) 。 假 定 e:GxG 一 Gr 表示 一 个 双 线 性 映射 ， 其 中 g 为 


生成 器 ，p 为 群 G 的 素数 阶 。 设 五 : {0,1} 瑟 G 为 加 密 hash 函数 。 本 文 所 提 协 议 如 下 : 


a)Keygn1* ) 。 首 先 ，DP 必须 使 用 算法 1 展示 的 密 钥 生成 程序 ， 生 成 密 钥 集 (pubkey, seckey)。 该 算法 首先 选择 一 个 随机 元 素 


keZ, 作为 一 个 私有 密 钥 ， 并 生成 7 = g* 作 为 公 钥 。 


算法 1 生成 算法 
1 . procedure KEYGEN (2) 


Input: 安全 性 参数 4 
Output: 发 布 系统 参数 (C,8,7) ， 保 留 上 。 
初始 化 配对 : 


pbc_demo pairing init(pairing, count, param) 
初始 化 G 和 Zp 的 元 素 


element init G(g, pairing); 


2 

3 

4 

5 

6. element init G(7 , pairing); 
7 element init Zp (k ,pairing); 
8 生成 系统 参数 和 私有 密 负 

9 8 ~ element random(g); 


10. ke— element random( k ); 
11. ”生成 公共 密 钥 
12. 7 «element pow Zp(7,8,k). 


b)FleTagGen。 由 于 DP 要 生成 文件 的 标签 ， 所 以 DP 首先 生成 一 个 随机 元 素 ，u eG 。DP 生成 系统 日 期 和 时 间 ， 表 示 为 
di, 。 将 系统 日 期 和 时 间 串 联 在 文件 标签 + 中， 以 确保 数据 文件 的 新 鲜 性 。 设 h=(fname||nllulld,)， 其 中 heG，7T= sigi(h) 为 
厂 的 文件 标签 。 对 串联 的 字符 串 h 进行 本 地 存储 ， 以 用 于 未 来 的 文件 标签 验证 。 生 成 文件 标签 的 伪 代 码 如 算法 2 所 示 。 

算法 2 生成 文件 标签 

procedure GENERATE FILE TAG 

Input: 文件 名 fname， 私 钥 k， 文 件 块 数量 n， 日 期 和 时 间 d， 

Output: 公布 文件 标签 (7 )。 保 留 文件 标签 hash (有 )。 

初始 化 配对 : 


2 

3 pbc_demo_pairing_int(pairing, count, param) 
4. ”对 6G 的 随机 元 素 w 和 天 进行 初始 化 : 

3: element-init Gu, pairing); 

6 element init G(h, pairing); 

7. 生成 

8 

9 


g < element random(u) 


读 取 系 统 日 期 和 时 间 
10. d, «ctime(?) 


11. 串联 fname、n、u、d 


12. file tag concatenation < 二 fname ||nllulld; 

13. file tag_concatenation 转换 为 随机 元 素 heG ; 
14. helement from hash (file tag concatenation); 
15. 生成 文件 标签 了 
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16. Telement pow_ Zp(T ,file tag concatenation, 月 


c)BlockSigGen。 在 生成 文件 标签 7 后 ，DP 为 每 第 i 个 文件 块 4 四 生成 BLS 签名 =(H(4d[i 站 .wt ， 其 中 ie{1,2,.…,n}， 


ueG 。 此 处 及 (d[ 引 ) 表 示 使 用 一 些 加 密 hash 函数 得 到 的 文件 块 hash 值 。 提 出 的 协议 中 使 用 了 SHA256 hash 算法 。 签 名 集合 表 
示 为 06= {Wi;}，1<i<n。 在 生成 块 签名 后 , DP 生成 一 棵 RI-MHT, 使 用 鼠 (ZLJ) Yie{l,n} 作为 叶 节 点 , 并 生成 一 个 根 节点 Hg。 
在 实现 及 x 时 , DP 将 其 与 系统 日 期 和 时 间 相 串联 ， 以 确保 数据 新 鲜 性 。 由 此 ， 有 g = HR 上 di 。 现在 DP 使 用 大 对 根 瓦 R 进行 验证 。 


7 


到 


根 签名 最 后 表示 为 p < 有 (R)*。DP 将 向 CSP 发 送 {F,7,0,p} 信息 以 从 本 地 存储 中 对 相同 的 信息 进行 存储 和 删除 。 本 文 MHT 创 


建 算法 的 伪 代 码 如 算法 3 所 示 。 
算法 3 MHT 创建 算法 
1: procedure MERKLE HASH TREE CREATION 
Input: 结构 元 素 mt， 块 hash (H(d[ij)， 
头 标 文件 merkle tree h 
Output: 根 节点 (roothash) 
将 leaf_start 初始 化 为 块 数量 


[ 


leaf start — (1 < (mt 一 treeheight —1)).; 
初始 化 树 中 的 节点 数量 


之 

3 

4 

$s mt—n< (leaf strat+ mt— data blocks—1) 
6: ”为 mt 一 节点 中 的 mt 分 配 内 存 
gh 

8 

9 


初始 化 leaf start 计数 
当 该 计数 小 于 或 等 于 mt 一 an 


设 mt 一 node[count].index 为 1 


10: 设 mt 一 node[count].hash 为 H(d[count 一 leaf start]); 
11: 设 mt 一 node[count].left 为 NULL; 


12: 设 mt 一 node[count].right 为 NULL; 
13: 计数 以 1 为 增 量 ; 
14: end while 

15: ”将 计数 初始 化 为 leaf start -1 
16:” 当 计数 大 于 0 时 


地 


17: 设 mt 一 node[count].hash 为 NULL 值 ; 
18: 设 mt 一 node[count].hash 为 mt 一 node[2*count].hash 


+mt —node[2*count+1].hash; 


19: 设 mt 一 node[count].index 为 mt 一 node[2*count].index 


+mt 一 node[2*count+1l].index; 


20: 设 mt 一 node[count].left 为 mt 一 node[2*count].left; 
21: 设 mt 一 node[count].right 为 mt node[2*count].right; 


出 


22: 计数 以 1 为 减 量 ; 

23: ， 若 计 数 等 于 0; 

24: 返回 地 址 mt 一 node 

25: end while 

d) 质询 。DP 可 能 会 对 外 包 数 据 F 的 完整 性 进行 检查 。 为 此 ，DP 通过 在 一 个 安全 可 靠 的 信道 上 共享 文件 细则 、 根 签名 和 私有 
密 钥 ， 将 审核 任务 委托 给 TPA。 为 开始 审核 ，TPA 选择 随机 的 包含 上 个 元 素 的 子 集 @ = { 全 疡 天 } el[l,n] 和 ieQ。TPA 将 质询 


消息 C 所 )ieo 发 送 到 CSP。 


e) GenProof。 一 旦 接收 到 来 自 TPA 的 质询 消息 C 后 ，CSP 立即 使 用 搜索 算法 对 hash 树 中 第 i 个 节点 YieC 进 行 搜索 。 在 
进行 节点 搜索 时 ,CSP 可 以 在 第 i 个 节点 的 搜索 路 径 上 存储 每 个 兄弟 节点 的 信息 。 该 信息 将 作为 正 被 搜索 节点 的 辅助 信息 (AI) 。 


pa (三 
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举例 来 说 ， 若 第 i 个 节点 为 图 3 中 的 节点 5， 则 其 AI 为 ，[(4,4,),( 玉 (d[6],1,R)(Hp,2,R)] ， 其 中 工 表示 左 兄弟 节点 ，R 表示 
右 兄 弟 节点 。 若 MHT 中 不 存在 第 i 个 节点 ， 则 CSP 向 TPA 通知 块 未 发 现 的 消息 ， 并 停止 审核 过 程 ， 若 块 确实 存在 ， 则 CSP 继续 
证 据 生成 程序 ， 并 生成 一 个 完整 的 所 有 权证 据 。 
f) VerifyProof。 在 开始 验证 之 前 ，TPA 先 验证 文件 标签 如 下 
(a) 恢复 本 地 存储 的 文件 标签 hash h。 
(b) 恢复 来 自 服务 器 的 文件 标签 


(CCc) 检查 公式 e( 有 ,8“) = e(rg) 是 否 成 立 。 


(Cd) 若 验证 通过 ， 则 输出 TRUE， 并 恢复 u 和 d, 。 
(e) 若 未 通过 验证 ， 则 停止 程序 。 
若 文件 标签 z 的 真实 性 验证 未 能 通过 ， 则 TPA 会 停止 进一步 的 审核 程序 ， 并 将 完整 恬 


F 核 过 程 失败 的 消息 报告 给 DP; 若 文 


Ht 
nl 


件 标 签 的 认证 通过 ， 则 TPA 恢复 u 和 4d 字段 ， 以 将 其 用 于 对 接收 自 CSP 的 Py 中 的 根 2 进行 认证 。 完 整 性 认证 的 伪 代 码 如 算法 4 


所 示 。 
算法 4 完整 性 认证 
1: procedure INTEGRITY VERIFICATION 
Input: $5, 7, C 
Output: TRUE 这 文件 块 通过 认证 else FALSE 
2: ”初始 化 配对 : 
3: pbce_demo pairing init(pairing,count,param) 
4: 初始 化 少数 随机 元 素 G 的 templ、temp2、temp3、H(d[ 站 )、 
Power[i]，Zp 的 bf ， 其 中 ieQ 


element init G(templ1, pairing); 


element init G(temp2, pairing); 


5 

6 

7: element init G(temp3, pairing); 
8 element init G(H(d[i]), pairing); 
9 


element init G(Power[i], pairing); 


10: element init Zr(b[i], pairing); 
11: element setl(temp1); 
12: 从 服务 器 读 取 H(d[i 让 、K; 从 C 读 取 b[i], u 


生成 Hd([iD*.w 人 个 ，ieQ 


13: element pow_Zp(Power[i], H(d[i]), bP[i]); 
14: element pow_Zp(Powerl[il],u, KH) 


15: 生成 [ (H(dLi) ue 
16: element mul(Power[i], Power[i], Powerl1[i]) 
17: element mul(templ, templ1, Power[i]); 


18: 在 templ 上 应 用 配对 

19: pairing apply(temp2, templ, 7 ,pairing); 
20: 在 WW 上 应 用 配对 

21: pairing apply(temp3, W , g, pairing); 
22: 比较 temp2 和 temp3 


23: result=element cmp(temp2, temp3) 
24: f 结果 为 0 then output TRUE 
25: else output FALSE 
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3 ”性 能 分 析 


本 章 将 分 析 RI-MHT 的 性 能 。 随 着 损坏 块 数量 的 不 同 ， 其 计算 复杂 度 的 变化 。 还 将 给 出 不 同 算法 的 计算 成 本 、 存 储 成 本 和 通 
信 开 销 ， 以 及 与 其 他 数据 完整 性 审核 协议 之 间 的 比较 结果 。 
3.1 计算 成 本 分 析 

审核 模型 中 不 同 实体 的 计算 成 本 是 不 同 的 。 对 于 TPA， 计 算 成 本 指 的 是 执行 一 次 完整 性 审核 所 需 的 资源 。 对 于 CSP， 计 算 成 
本 对 应 于 处 理 质询 消息 ， 并 生成 所 有 权证 据 所 需 的 时 间 。 数 据 动态 操作 与 常规 数据 完整 性 审核 中 产生 的 计算 成 本 是 不 同 的 。 在 更 
新 操作 中 ，TPA 需要 生成 新 鲜 块 的 块 标签 ，CSP 需要 重新 生成 根 hash 并 更 新 文件 标签 。 所 有 这 些 任 务 均 会 对 各 自 涉及 的 实体 产生 
计算 负担 。 
下 面 将 给 出 RI-MHT 的 计算 成 本 ， 并 与 文献 [3] 和 文献 [6] 进 行 比较 。 为 简便 起 见 ， 分 析 实 验 使 用 表 1 给 出 的 符号 。RI-MHT 中 
每 个 算法 的 计算 成 本 如 表 2 所 示 。 其 中 ，n 表示 数据 块 总 数 ; 上 表示 质询 数据 块 数量 。 上 述 三 种 协议 的 计算 成 本 比较 如 表 3 所 示 。 
表 可 知 ， 所 提 协 议 的 效率 高 于 其 他 两 个 协议 。 文 献 [3] 搜 索 数 据 块 的 计算 时 间 较 长 ， 并 根据 块 数量 增长 而 线性 变化 ， 即 O(n)。 所 
提 协 议 中 ， 由 于 使 用 了 先 对 索引 字段 ， 搜 索 一 个 节点 的 复杂 度 被 降低 为 O(logn)。 所 提 搜 索 算法 的 计算 复杂 度 与 在 包括 (2n-1) 个 节 
点 的 二 又 搜 索 树 U1 (BST) 中 搜索 一 个 元 素 相似 ， 而 文献 [3] 则 与 线性 搜索 算法 的 计算 复杂 度 相 似 。 图 4 给 出 了 所 提 协 议 在 频繁 数 
据 改动 中 的 性 能 。 实验 中 对 1 GB 的 文件 进行 更 新 , 其 中 更 新 的 块 数量 从 100~1000 间 变 化 。 由 图 可 知 , 随 着 被 改动 块 数量 的 增加 ， 
文献 [3] 计 算 成 本 增加 的 速率 高 于 本 文 协议 ， 而 文献 [6] 则 不 支持 数据 动态 操作 。 


WT 


表 1 符号 和 描述 
符号 描述 
H(G) “将 一 个 数值 散 列 到 群 G 中 
Add(G) 群 G 中 的 加 法 任务 
Mul(G) 群 G 中 的 乘法 任务 
Exp(G) 群 G 中 的 求 蝴 任务 
Pair(G) 群 G 中 的 配对 任务 


Pay 


表 2 RI-MHT 中 不 同 算法 的 计算 成 本 


算法 加 法 乘法 Hash 求 蛙 配对 
KeyGen 0 0 0 Exp(G) 0 
FileTagGen 0 0 0 Exp(G) 0 
BlockSigGen 0 0 nH(G) (+1)Exp(G) 0 
GenProof tAdd(G)  (t-1)Mul(G) 0 tExp(G) 0 
VerifyProof 0 tMul(G) 0 tEXP(G) 4 


表 3 计算 成 本 的 比较 


协议 服务 器 审核 者 时 间 复 杂 度 
文献 3]  tEXP(G)H+(t-DMul(G) 2Pairt(t+2)Exp(GO+CHEDMul(G) O(n) 
文献 [6] 。 2tExp(G)+(2t-2)Mul(G) 3Pair+(t+ 1)Exp(G)+tMul O(n) 


RI-MHT tExp(G)+(t-1)Mul(G) 4PairttExp(G)+tMul(G) O(logn) 
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3.2 ”存储 成 本 分 析 
存储 DP 


重要 影响 。 在 基于 RSA 的 协议 


选择 基于 BLS 签名 的 同 态 标签 ， 


计算 成 本 ( 秒 ) 


0.4|- 


图 4 


860 200 300 400 500 600 700 800 900 1000 


被 改动 的 据 块 数量 
计算 成 本 随 被 改动 数据 块 数量 的 变化 情况 


示 数 据 块 总 数量 ; 


表示 安全 性 参数 ; ! 表示 文件 


数据 较 小 。 


3.3 通信 成 本 分 析 


质询 消息 ， 


于 元 数据 而 产生 的 存储 开销 是 恒定 
的 区 别 在 于 数据 所 有 者 DP， 以 及 云 供应 商 CSP。 因 此 ， 本 文 RI-MHT 在 总 体 存储 成 本 上 具有 


的 ， 但 在 C 


四 分 析 RI-MHT 的 存储 和 通信 成 本 。DP 存储 密 钥 对 (77,) 、 文 件 标签 散 列 h。 受 委 托 的 TPA 存储 公 钥 7、 文 件 标签 7 。CSP 
的 数据 文件 FE、 文 件 块 标签 2 、 根 签名 P 、 文 件 标签 T 。 因 此 ， 在 存储 开销 中 ， 文 件 预 处 理 时 生成 的 元 数据 大 小 会 产生 
生成 的 元 数据 为 RSA 模 的 大 小 。 考 虑 RSA 模 的 大 小 为 2048 位 ， 公 钥 大 小 为 6168 位 素数 ， 忆 
么 协议 得 出 一 个 数据 块 的 大 小 应 该 保持 <e/2。 车 一 个 数据 块 <e/2 ， 则 协议 可 能 会 变 得 不 安全 。 因 此 ， 一 个 64 MB 的 数据 需要 
被 分 割 为 最 小 87 056 个 数据 块 ， 每 个 数据 块 的 元 数据 长 度 为 2 048 位 。1 


此 ， 总 元 数据 大 小 约 为 21.2 MB。 在 RI-MHT 中 ， 本 文 


因为 与 基于 RSA 标签 的 同 态 标 签 相 比 长 度 较 短 。RIMHT 中 的 存储 成 本 如 表 4 所 示 。 


其 中 ， 1 冯 


标签 的 大 小 ; |G| 表 示 属 于 G 的 一 个 元 素 的 大 小 。 从 表 4 中 可 知 , 在 DP 和 TPA 处 
SP 处 则 呈 线 性 变化 。 从 表 4 还 可 知道 ， 各 协议 的 TPA 存储 成 本 是 相同 的 ， 最 大 


表 4 RI-MHT 中 的 存储 成 本 /bit 


实体 本 文 文献 [3] 文献 [6] 
DP k+2|GI+1 k+3|GI+27 k+3|GI+/ 
TPA k+|GI+1 kr+lGI+/ k+|GI+1 
CSP n+tin+l)G| n+2H+1)IG| n+2i+(n+D)IG| 


在 一 个 审核 实例 中 CSP 与 TPA 之 间 的 数据 传输 量 构成 了 通信 成 本 。 在 RITMHT 中 ， 通 信 成 本 3 
以 及 CSP 向 TPA 发 送 证 据 消 息 。DP 将 审核 任务 委托 给 TPA 所 产生 的 通信 开销 是 恒定 的 。RIT-MHT 中 各 方 实体 之 间 


的 通信 开销 如 表 5 所 示 。 
G 的 元 素 大 小 。 


钥 、 


其 中 ，|Zb| 表 示 属 于 一 个 元 素 的 大 小 ; 1 表示 质询 数据 块 的 数量 ; 


定 优势 ， 这 主要 得 益 于 生成 的 元 


表 5 RI-MHT 中 的 计算 成 本 


阶段 计算 成 本 (bits) 
委托 审核 任务 DP—TPA: 2|G|+! 
质询 阶段 TPA—CSP: 1.|2Z,|+283 
响应 证 据 CSP—TPA: |G|+|2, |+(t+2)256 


根 签名 和 文件 签名 的 大 小 。TPA 向 CSP 发 送 包含 大 个 元 素 的 子 集 QO、 随 机 元 素 b; e2,,ieEQ 质询 消息 。 相 关 太 


于 DP 将 审核 任务 委托 给 TPA，DP 向 TPA 共享 密 钥 、 文 件 标签 和 根 签名 ， 所 以 该 通信 成 本 每 次 审核 仅 产 生 一 次 ， 


7 表示 文件 标签 的 大 小 ; 


要 来 自 于 TPA 向 CSP 发 送 


|G| 表 示 属 于 


等 于 密 


究 表明 02. 9， 
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2 可 表示 为 {log 11+31og(1/ err)} 字 节 , 其 中 , | 五 外 指 的 是 数据 文件 大 小 ; err 为 误差 概率 。 一 般 来 说 , 对 于 一 个 文件 大 小 <1024 
TB 和 2<err<80 ，Q 的 大 小 可 表示 为 283 Byte。 因 此 质询 阶段 中 ， 对 于 大 小 <1024 TB 的 一 个 文件 ， 通 信 成 本 的 最 大 值 为 


UD 


1.|2, |+283 Byte。 


3.4 综合 评价 

本 文 进 行 实验 的 系统 为 2.20 GHz Intel core(CTM2 双核 处 理 器 ，2 GB RAM。 使 用 PBC 库 049 版 本 0.5.14， 散 列 操作 使 用 配对 和 加 
密 库 Openssl 版 本 1.0.2e。 协 议 构建 中 实施 了 160 位 群 阶 椭圆 曲线 。 仿 真 平台 为 ubuntu-10.04 操作 系统 。 为 进行 实验 演示 ， 本 文 使 
用 的 文件 大 小 为 10~100 KB。 不 同 数量 的 文件 块 进行 完整 性 审核 时 TPA 的 计算 成 本 如 图 4 所 示 。 由 图 可 知 ,使 用 RI-MHT 时 TPA 
的 计算 负担 最 小 。 为 研究 更 新 操作 的 影响 ， 文 献 [3] 协 议 中 ，TPA 首先 搜索 MHT 中 文件 块 的 位 置 ， 其 复杂 度 随 树 中 块 数量 的 增加 
而 线性 增长 。 由 此 ， 搜 索 操 作为 TPA 带 来 了 额外 的 计算 开销 。 而 在 RI-MHT 中 ， 搜 索 一 个 节点 的 复杂 度 被 对 数 降低 了 。 从 图 5 可 


知 ， 文 献 [3] 和 文献 [6] 的 计算 成 本 随 着 文件 大 小 的 增 大 而 升 高 ， 而 本 文 方法 对 TPA 造成 的 计算 开销 最 小 。 因 此 ， 当 DP 将 一 个 大 数 
据 文 件 外 包 到 云 中 ， 或 频繁 更 新 云 中 的 外 包 文件 时 ， 所 提 RI-MHT 能 够 大 幅 降 低 计 算 开 销 。 
36 T F : : 
| 二 下 
321 sa 
上 
长 8| | 
迟 28 
考 
本 
24. i b 
200 5 10 1 20 25 


质询 数据 块 的 数量 (t 
5 计算 成 本 与 质询 数据 块 数量 的 关系 


pa 


4 ”结束 语 


本 文 基于 MHT 构建 和 BLS 签名 ， 提 出 了 一 个 云 数 据 的 完整 性 审核 协议 。 为 了 降低 搜索 复杂 度 ， 节 点 的 相对 索引 集成 了 散 列 
树 中 的 hash 值 。 该 协议 将 时 间 惟 字段 串联 到 根 hash 中 ， 以 确保 数据 的 新 鲜 性 ， 使 得 用 户 在 任何 时 间 访 问 的 数据 文件 均 是 数据 的 
最 近 一 次 副本 。 因 此 ， 所 提 协 议 支 持 高 效 数据 公共 审核 ， 确 保 了 数据 的 新 鲜 性 。 实 验 结果 和 安全 性 证 明 表 明 RI-MHT 具有 较 高 的 
安全 性 和 效率 。 
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